Merhabalar sayın Türk Hack Team üyeleri,
Ben C4K1R, bugün sizlere kısaca "DNS over HTTPS (DoH)" konusunu Kali Linux üzerindeki bazı toolları kullanarak açıklayacağım.
Hadi başlayalım, iyi seyirler!
Ben C4K1R, bugün sizlere kısaca "DNS over HTTPS (DoH)" konusunu Kali Linux üzerindeki bazı toolları kullanarak açıklayacağım.
Hadi başlayalım, iyi seyirler!
DoH Nedir?
DNS over HTTPS (DoH), adından da anlaşılacağı gibi DNS sorgularını HTTPS üzerinden şifreleyerek göndermeye yarayan bir protokoldür.
Normalde DNS trafiği UDP 53 portu üzerinden düz metin olarak gider, bu da ISP’lerin, ağ yöneticilerinin veya saldırganların hangi sitelere girdiğinizi görmesine neden olur.
DoH sayesinde bu sorgular HTTPS (443 portu) üzerinden şifrelenmiş olarak gönderilir. Yani artık araya giren biri, hangi domain’e eriştiğinizi göremez.
Normalde DNS trafiği UDP 53 portu üzerinden düz metin olarak gider, bu da ISP’lerin, ağ yöneticilerinin veya saldırganların hangi sitelere girdiğinizi görmesine neden olur.
DoH sayesinde bu sorgular HTTPS (443 portu) üzerinden şifrelenmiş olarak gönderilir. Yani artık araya giren biri, hangi domain’e eriştiğinizi göremez.
Kullanılan Araçlar
Bu testte Kali Linux üzerinde şu araçları kullandım:
- tcpdump → ağ trafiğini yakalamak için
- tshark → paketleri detaylı analiz etmek için
- dig → DNS sorgusu göndermek için
- curl + jq → DoH sorgularını HTTPS üzerinden yapmak için
- Wireshark → trafiği görselleştirmek için
Normal DNS Trafiği (UDP 53)
İlk olarak klasik DNS trafiğini yakaladım:
Burada tcpdump UDP 53 portunu dinliyor.
dig komutu ile example.com sorgusu yaptığımda, trafiğin plaintext (şifresiz) olduğunu gördüm.
tshark ile incelediğimde domain isimleri açıkça görünüyordu
Burada tcpdump UDP 53 portunu dinliyor.
dig komutu ile example.com sorgusu yaptığımda, trafiğin plaintext (şifresiz) olduğunu gördüm.
tshark ile incelediğimde domain isimleri açıkça görünüyordu
DoH Trafiği (HTTPS 443)
Şimdi DoH’u devreye alalım.
Cloudflare’ın ücretsiz DoH endpoint’ini kullandım:
Bu komutla DNS sorgusunu HTTPS üzerinden yaptık.
Cevap JSON formatında geldi ve trafik Wireshark üzerinde tamamen şifreli (TLS 1.3) olarak göründü.
tshark çıktısında artık domain adları yoktu, sadece IP’ler ve port 443 vardı:
Cloudflare’ın ücretsiz DoH endpoint’ini kullandım:
Bu komutla DNS sorgusunu HTTPS üzerinden yaptık.
Cevap JSON formatında geldi ve trafik Wireshark üzerinde tamamen şifreli (TLS 1.3) olarak göründü.
tshark çıktısında artık domain adları yoktu, sadece IP’ler ve port 443 vardı:
Özellik | Klasik DNS | DNS over HTTPS (DoH) |
Port | 53 (UDP) | 443 (TCP / HTTPS) |
Şifreleme | Yok | TLS 1.3 |
Görünürlük | Domain açık | Domain gizli |
Gizlilik | Düşük | Yüksek |
Trafik Tespiti | Kolay | Zor |
Avantajlar & Zayıf Noktalar
Avantajlar:
DNS trafiği gizlenir
MITM saldırılarına karşı koruma sağlar
Sansür bypass’ı için kullanılabilir
Zayıf Noktalar:
Trafik Cloudflare veya Google gibi büyük firmalara gider, merkezi bir güven sorunu oluşabilir
Kurumsal ağlarda güvenlik denetimlerini atlatabilir
Kötü amaçlı yazılımlar DoH’u gizlenmek için kullanabilir
DNS trafiği gizlenir
MITM saldırılarına karşı koruma sağlar
Sansür bypass’ı için kullanılabilir
Zayıf Noktalar:
Trafik Cloudflare veya Google gibi büyük firmalara gider, merkezi bir güven sorunu oluşabilir
Kurumsal ağlarda güvenlik denetimlerini atlatabilir
Kötü amaçlı yazılımlar DoH’u gizlenmek için kullanabilir
Son düzenleme:
